Felsöka Kerberos

Felsökningsförslagen i detta ämne är indelade i frågor relaterade till enkel inloggning (SSO) på servern och problem med de delegerade datakällorna.

Enkel inloggning till Tableau Server

I en Kerberos SSO-miljö kan en användare som loggar in på Tableau Server från en webbläsare eller Tableau Desktop se ett meddelande som indikerar att Tableau Server inte kan logga in automatiskt (med enkel inloggning). Det föreslår att de ger ett användarnamn och lösenord för Tableau Server istället.

Felsökning av inloggningsfel på klientdatorn

  • Ange användarnamn och lösenord - Logga in genom att ange användarens namn och lösenord för att kontrollera användarens allmänna åtkomst till Tableau Server.

    Om dessa inloggningsuppgifter misslyckas kanske användaren inte är en användare på Tableau Server. För att Kerberos SSO ska fungera måste användaren kunna komma åt Tableau Server, och de måste beviljas en Ticket Granting Ticket (TGT) av Active Directory (som beskrivs i TGT-artikeln längre ned i denna lista).

  • Kontrollera andra användares SSO-uppgifter - Försök att ansluta med SSO till Tableau Server med andra användarkonton. Om alla användare påverkas kan problemet finnas i Kerberos-konfigurationen.

  • Använd en annan dator än serverdatorn - Kerberos SSO fungerar inte när du loggar in på Tableau Server på localhost. Klienter måste ansluta från en annan dator än Tableau Server-datorn.

  • Använd ett servernamn, inte en Ip-adress - Kerberos SSO fungerar inte om du anger en IP-adress som Tableau Server-namn. Dessutom måste servernamnet du använder för att komma åt Tableau Server matcha det namn som används i Kerberos-konfigurationen (se Nyckeltabellpost, nedan).

  • Bekräfta att klienten har TGT - Klientdatorn måste ha en TGT (Ticket Granting Ticket) från Active Directory-domänen. Begränsad delegering, där proxyn beviljar en biljett, stöds inte.

    För att bekräfta att klientdatorn har en TGT, gör så här:

    • I Windows öppnar du en kommandorad och skriver in följande: klist tgt

    • Öppna ett terminalfönster på Mac och skriv in följande: klist

    Utmatningen ska visa en TGT för användaren/domänen som försöker att autentisera till Tableau Server.

    Klientdatorn kanske inte har en TGT under följande omständigheter:

    • Klientdatorn använder en VPN-anslutning.

    • Klientdatorn är inte ansluten till domänen (till exempel är det en icke-arbetsdator som används på jobbet).

    • Användaren loggade in på datorn med ett lokalt (icke-domän) konto.

    • Datorn är en Mac som inte använder Active Directory som en server för nätverkskonto.

  • Bekräfta webbläsarversion och inställningar - För inloggning till webbläsaren, se till att webbläsaren stöds för Kerberos och att den vid behov är korrekt konfigurerad.

    • Internet Explorer (IE) och Chrome fungerar “out of the box” på Windows.

    • Safari fungerar ”out of the box” på Mac.

    • Firefox kräver ytterligare konfiguration.

    För mer information, se Tableau-klientstöd för Kerberos enkel inloggning.

Felsökning av inloggningsfel på servern

Om du inte kan lösa problemet från klientdatorn är dina nästa steg att felsöka på datorn som kör Tableau Server. Administratören kan använda begäran-ID för att hitta inloggningsförsöket i Apache-loggar på Tableau Server.

  • Loggfiler - Kontrollera Apache error.log för ett fel med exakt tid/datum för det misslyckade inloggningsförsöket.

    • I ett ziplog-arkiv finns dessa loggar i mappen \httpd.

    • På Tableau Server finns dessa loggar i mappen \data\tabsvc\logs\httpd\.

  • Nyckeltabellpost - Om posten error.log inehåller meddelandet ”Ingen nyckeltabellspost som matchar HTTP/<servername>.<domain>.<org>@”, till exempel:

    [Fri Oct 24 10:58:46.087683 2014] [:error] [pid 2104:tid 4776] [client 10.10.1.62:56789] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, No key table entry found matching HTTP/servername.domain.com@)

    Detta fel är ett resultat av en felaktig matchning av något av följande:

    • Tableau Server URL - Webbadressen som används av klientdatorn för att komma åt servern.

      Detta är namnet som du skriver in i Tableau Desktop eller en webbläsares adressfält. Det kan vara ett kortnamn (http://servername) eller ett fullt kvalificerat domännamn (http://servername.domain.com)

    • DNS omvänd sökning efter serverns IP-adress.

      Detta slår upp ett DNS-namn med en IP-adress.

      Skriv följande i en kommandotolk:

      ping servername

      med IP-adressen returnerad genom att pinga servern, gör en omvänd DNS-sökningstyp:

      nslookup <ip address>

      Kommandot nslookup returnerar nätverksinformation för IP-adressen. I den icke-auktoritativa svarsdelen av svaret, kontrollera att det fullt kvalificerade domännamnet (FQDN) matchar följande konfigurerade värden: 

      • Kerberos .keytab-fil

      • Tjänstens huvudnamn (SPN) för servern

      Mer information om hur du konfigurerar dessa värden finns i Förstå kraven för keytab-filer.

Kontrollera Kerberos-konfigurationsskript

Du kan behöva ändra kommandot ktpass som du använde för att skapa nyckeltabellfilen för miljövariabler. Granska felsökningsstegen i Kunskapsbasartikeln, Kan inte generera Kerberos skriptkonfiguration för Tableau Server(Länken öppnas i ett nytt fönster).

Datakälla SSO

Fel vid åtkomst till delegerad datakälla

Kontrollera vizqlserver-loggfilerna för ”workgroup-auth-mode”.

  • I ett ziplog-arkiv finns dessa loggar i mappen \vizqlserver\Loggmapp

  • På Tableau-servern finns dessa loggar i mappen \data\tabsvc\vizqlserver\Loggmapp

Leta efter ”workgroup-auth-mode” i loggfilerna. Det ska stå ”kerberos-impersonera” inte ”som den är”.

Kerberos-delegationens flerdomänskonfiguration

Tableau Server kan delegera användare från andra Active Directory-domäner. Om din databas använder MIT Kerberos, kan du behöva justera din Kerberos huvudnamn till kartläggning av databasanvändare. Specifikt måste du uppdatera krb5.conf med regler för varje Kerberos-sfär som användarna kommer att ansluta från. Använd taggen auth_to_local i [realms] avsnittet för att kartlägga huvudnamn till lokala användarnamn.

Tänk till exempel på en användare, EXAMPLE\jsmith vars Kerberos huvudnamn är jsmith@EXAMPLE.LAN. I detta fall anger Tableau Server en delegerad användare, jsmith@EXAMPLE. Tableau Server kommer att använda Active Directory-domänaliaset som Kerberos-sfär.

Måldatabasen kan redan ha en regel såsom följande för att kartlägga användaren, jsmith@EXAMPLE.LAN till databasanvändaren jsmith.

EXAMPLE.LAN = {
   RULE:[1:$1@$0](.*@EXAMPLE.LAN)s/@.*//
   DEFAULT
}

För att stödja delegering måste du lägga till en annan regel för att kartlägga jsmith@EXEMPEL till en databasanvändare:

EXAMPLE.LAN = {
   RULE:[1:$1@$0](.*@EXAMPLE.LAN)s/@.*//
   RULE:[1:$1@$0](.*@EXAMPLE)s/@.*//
   DEFAULT
}

Mer information finns i avsnittet om MIT Kerberos-dokumentationen, krb5.conf(Länken öppnas i ett nytt fönster).

Tvärdomänbegränsad delegering

I vissa tvärdomänscenarier där KDC körs på en Windows-server före Windows 2012 kan delegeringen misslyckas. Fel som du kan se inkluderar:

  • SQL-serverns nätverksgränssnitt: Systemet kan inte kontakta en domänkontrollant för att serva autentiseringsbegäran. Försök igen senare.
  • SQL Server Native Client: Kan inte generera SSPI-kontext.
  • Domänkontrollen returnerar: KRB-ERR-POLICY error with a status STATUS_CROSSREALM_DELEGATION_FAILURE (0xc000040b).

Med tvärdomän avses ett scenario där Tableau Server körs i en annan domän än datakällan med andra tjänstekonton. Till exempel:

  • Tableau Server körs på DomainA med DomainA servicekonto.
  • SQL Server körs på DomainB med DomainB tjänstekonto.

Traditionell begränsad delegering fungerar endast om båda servrarna är i samma domän. Användaren kan komma från andra domäner.

Om du ser felen ovan bör din Active Directory-administratör ta bort alla traditionella begränsade delegeringar som konfigurerats för det delegerande kontot för att aktivera detta scenario. Att ta bort delegering kan uppnås med Active Directory-hanteringsverktyg eller genom att ta bort de värden som är associerade med Active Directory-egenskapen, msDS-AllowedToDelegateTo.

Om du vill bevara en befintlig enskild domändelegation vid sidan av domänöverskridande delegering måste du konfigurera båda med hjälp av resursbaserad begränsad delegering.

För mer information om Kerberos och begränsad delegering, se Microsoft-ämnet, Kerberos begränsad delegeringsöversikt(Länken öppnas i ett nytt fönster).

Webbredigering

Det finns två scenarier för webbredigering som inte stöder Kerberos-delegering: funktionerna ”Anslut till data på webben” och ”Skapa en datakälla på webben” stöder ännu inte delegering. I synnerhet om du skapar en datakälla som använder Kerberos med webbredigering, så kommer datakällan att köra Kör som service-kontoautenticering. Om du vill använda Kerberos-delegering för att skapa en datakälla måste du publicera med Tableau Desktop. Mer information om Kör som tjänst-kontot finns i Dataåtkomst med Kör som tjänst-kontot.

Tack för din feedback!Din feedback har skickats in. Tack!